45일간 자체 도구를 관찰하면 알게 되는 실제 공격 표면
출처: The Hacker News
The Hacker News2026년 5월 15일 Endpoint Security / Threat Detection
*당신이 가장 크게 위험에 처한 이유는 악성코드가 아니라 이미 신뢰하고 있는 것들*에서 우리는 간단한 주장을 펼쳤습니다. 대부분 조직 내부에서 가장 위험한 활동은 이제 공격처럼 보이지 않습니다. 관리 작업처럼 보이죠. PowerShell, WMIC, netsh, Certutil, MSBuild—IT 팀이 매일 사용하는 신뢰받는 유틸리티가 현대 위협 행위자들의 선호 툴킷이기도 합니다. 70만 건의 고위험 사건을 분석한 Bitdefender의 조사에서는 **84%**에서 정당한 툴 남용이 발견되었습니다.
가장 많이 들은 반응은 당연한 것이었습니다. “우린 알고 있어요. 그럼 실제로 뭘 해야 하나요?”
바로 그 질문에 답하기 위해 Bitdefender가 제공하는 **무료 내부 공격 표면 평가**가 만들어졌습니다. 250명 이상 직원이 있는 조직을 대상으로 45일간 낮은 노력으로 진행되는 이 서비스는 “땅 위에서 살아남기(living off the land)”라는 추상적인 문제를, 비즈니스를 방해하지 않으면서 공격자가 악용할 수 있는 사용자, 엔드포인트, 툴의 구체적이고 우선순위가 매겨진 목록으로 전환합니다.
왜 이것이고, 왜 지금인가
깨끗한 Windows 11 설치에는 **133개의 고유한 살아있는 툴(LolBins)**이 987개 인스턴스로 흩어져 있습니다. Bitdefender Labs 텔레메트리는 엔드포인트의 73%에서 PowerShell이 활성화돼 있으며, 그 대부분이 서드파티 애플리케이션에 의해 조용히 호출된다고 밝혔습니다. 이것은 악성코드 문제가 아니라 권한 과다 부여 문제이며, 패치만으로는 해결할 수 없습니다.
Gartner는 2024년 5% 미만이던 사전 사이버보안 투자 비중이 2030년까지 50%에 달할 것이며, 2025년 10% 미만이던 대기업의 60%가 동적 공격 표면 감소(DASR) 기술을 도입할 것이라고 전망합니다. 그 이유는 기계적입니다. 대부분의 침입이 악성코드 없이 수분 안에 이루어지기 때문에 “탐지·대응” 루프는 너무 느립니다. 처음부터 공격자가 사용할 수 있는 움직임을 차단해야 합니다.
평가 진행 방식
평가는 약 45일에 걸쳐 네 단계로 진행되며, GravityZone PHASR—Bitdefender의 사전 방어·공격 표면 감소 기술—에 의해 구동됩니다. 기존에 사용 중인 엔드포인트 스택과도 함께 작동합니다.
- 시작 및 행동 학습 – PHASR는 머신‑사용자 쌍마다 행동 프로파일을 구축합니다(보통 30일 동안).
- 공격 표면 대시보드 검토 – 노출 점수(0‑100)와 다섯 가지 카테고리(살아있는 툴, 원격 관리 툴, 변조 툴, 크립토마이너, 불법 복제 툴)별 우선순위 목록을 제공합니다. 각 항목은 영향을 받는 사용자와 디바이스와 연결됩니다.
- 선택적 감소 스프린트 – 제어를 수동으로 적용하거나 PHASR 자동 파일럿이 강제합니다. 사용자는 내장된 원클릭 승인 워크플로우를 통해 접근 권한을 복구 요청할 수 있습니다.
- 감소 검토 – 최종 세션에서 감소된 표면 규모와 그 과정에서 드러난 섀도우 IT·비인가 바이너리를 정량화합니다.
초기 이용 고객은 첫 30일 안에 공격 표면을 30% 이상 감소했으며, 한 고객은 LOLBins와 원격 툴을 차단해 70%에 육박하는 감소율을 기록했습니다. 조사 비용이나 최종 사용자 방해 없이 이루어진 결과입니다.
이해관계자별 의미
- CISO에게: 주당 변동을 보여주는 방어 가능하고 이사회에 보고 가능한 노출 수치, 실제 공격자가 사용하는 행동에 매핑됨.
- SOC·IT 관리자에게: 조사·대응 업무량이 최대 50% 감소, 의심스러우면서도 정당한 행동이 엔드포인트에서 사라지기 때문.
- 비즈니스 의사결정자에게: 문서화된 지속적인 표면 감소—규제기관, 감사인, 사이버 보험사가 점점 더 요구하는 내용.
공격자가 이미 있는 곳에서 시작하라
이전 글은 원칙으로 마무리했습니다. 가장 큰 위험은 외부나 미지의 것이 아니라 이미 여러분 환경 안에 있다는 것이었습니다. 이번 글은 실천 방안으로 마무리합니다. 45일 안에 정확하고 우선순위가 매겨진 위험 지도를 비용 없이, 기존 스택을 바꾸지 않고 얻을 수 있습니다.
Windows 기반 환경을 운영하고 직원이 250명 이상이라면, 여기서 내부 공격 표면 평가를 신청하세요. 침해는 계속 발생합니다. 침해가 실제 보안 사고가 될지는 공격자가 내부에 들어갔을 때 얼마나 많은 영역에 접근할 수 있느냐에 달려 있습니다. 그 리스트를 가장 빠르게 줄이는 방법은 바로 그 리스트를 보는 것입니다.
이 글이 흥미로우셨나요? 이 글은 저희 소중한 파트너 중 한 명이 기고한 내용입니다. 더 많은 독점 콘텐츠를 보려면 Google News, Twitter 및 LinkedIn을 팔로우하세요.